Déployé en France depuis les 30 mars 2017, le fichier des titres électroniques sécurisés (TES) a été définitivement validé le 18 octobre par une décision du Conseil d’Etat, qui a rejeté les derniers recours de la société civile. Il n’y a donc plus aucun obstacle au fichage biométrique de tous les Français. Voici cinq questions pour tout comprendre sur ce « mégafichier ».
Le TES, c’est quoi?
La création du TES a été autorisé par le décret n°2016-1460 du 28 octobre 2016, dont le texte final intègre les modifications apportées par les décrets n°2017-910 du 9 mai 2017 et n°2017-1522 du 2 novembre 2017. Il s’agit d’une base informatique qui rassemble le traitement des données à caractère personnel relatif aux passeports et aux cartes nationales d’identité, deux fichiers qui existaient déjà auparavant.
Pour chaque Français, elle contient le nom, le prénom, la date et le lieu de naissance, le sexe, la couleur des yeux, la taille, le domicile et/ou la résidence ainsi que les images numérisées du visage, des empreintes digitales et de la signature. La base contient par ailleurs les noms, les adresses, les nationalités et les dates et lieux de naissance des parents. Ces informations sont gardées pendant 15 ans dans le cas d’un passeport et pendant 20 ans pour une carte d’identité.
Qui a eu l’idée, et pourquoi ?
Les fondements du fichier TES ont été posés dans le cadre du plan préfectures nouvelle génération, annoncé par le ministre de l’intérieur Bernard Cazeneuve lors du Conseil des ministres du 16 décembre 2015. L’objectif est alors de faire face aux « défis majeurs auxquels la Nation est confrontée, notamment en matière de sécurité ». En effet, le TES simplifie le travail des forces de l’ordre qui peuvent désormais se connecter à une base unique pour effectuer leurs recherches et vérifier l’identité d’une personne.
Peuvent en effet accéder aux données du TES les membres de la police judiciaire « pour les besoins de leurs missions ». Les membres de la police nationale, de la gendarmerie nationale et des services de renseignement (DGSE, DGSI, DRSD, DRM, Tracfin) peuvent également fouiller dans ces données « pour les seuls besoins de la prévention des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme ».
Mais il y a aussi des garde-fous. L’image numérisée des empreintes digitales est généralement exclue de toutes ces consultations. Elle ne peut être accédée « qu’en vue de la détection des tentatives d’obtention ou d’utilisation frauduleuse d’un titre d’identité ». Par ailleurs, le TES ne dispose pas de « dispositif de recherche permettant l’identification à partir de l’image numérisée du visage ou de l’image numérisée des empreintes digitales enregistrées ». On ne peut donc pas injecter une photo ou une empreinte dans le TES et faire tourner un algorithme de reconnaissance pour trouver une personne.
Peut-on refuser l’enregistrement des données biométriques ?
Non, c’est obligatoire dans le cadre d’une demande de carte d’identité ou de passeport. Toutefois, à la suite d’une saisie de la CNIL, les conditions de recueil des empreintes digitales ont été modifiés en mai 2017. Depuis, il est possible de refuser la numérisation des empreintes digitales pour l’établissement de la carte d’identité. Dans ce cas, elles seront « recueillies sur un formulaire joint au dossier de demande ». Précisons que, contrairement au passeport qui intègre une puce RFID stockant les images du visage et de deux empreintes digitales, la carte d’identité ne comporte aucun support de stockage informatique.
Une manière radicale de ne pas livrer ses données biométriques à l’Etat est de ne pas faire de demande de carte d’identité ou de passeport. C’est théoriquement possible car personne n’est obligé d’avoir ce type de document. Mais dans ce cas, il sera nettement plus difficile de passer un examen, de s’inscrire à pôle emploi, de voyager à l’étranger, d’effectuer des opérations bancaires, etc. En réalité, il est donc presque impossible de faire l’impasse.
Le TES présente-t-il un risque ?
C’est en effet ce que pense plusieurs organisations. Dans un « mémoire ampliatif », la Quadrature du Net a attaqué plusieurs aspects de ce nouveau dispositif devant le Conseil d’Etat. Elle estime que la centralisation de dizaines de millions de données biométriques « porte une atteinte disproportionnée au droit au respect de la vie privée ainsi qu’à la protection de données personnelles ». En particulier, elle craint que les citoyens seraient in fine soumis à une surveillance généralisée par le biais de la reconnaissance faciale ou de la collecte de traces d’empreintes.
De son côté, la CNIL a estimé qu’un tel fichier est « d’une ampleur et d’une nature inégalée » et qu’il présente à ce titre un « risque de détournement de finalité » (comme l’identification d’une personne à partir d’une empreinte) et qu’il serait une « cible privilégiée en termes de cybercriminalité ». C’est pourquoi l’autorité indépendante a préconisé la solution d’une conservation des empreintes digitales dans une puce électronique sur la carte, ce qui réduirait de façon considérable le risque d’un piratage massif et exclurait de fait tout détournement. A défaut, la CNIL recommande de ne conserver que des gabarits dans la base centralisée et non les photographies des empreintes.
Quelles sont les conclusions du Conseil d’Etat?
Dans un arrêt du 18 octobre 2018, l’institution a rejeté tous les recours car elle estime que ce dispositif a une finalité légitime qui est justifiée par un motif d’ordre général – la lutte contre la fraude – et qui n’est pas disproportionnée. Certes, les forces de l’ordre ont accès aux images numérisées des visages, mais il n’existe pas de dispositif de recherche sur ces données. L’accès aux empreintes est par ailleurs strictement règlementé et ne peut servir qu’à confirmer l’identité d’une personne. Par ailleurs, le Conseil d’Etat ne voit aucune dérive ni excès de pouvoir en lien avec ce fichier.
Pour sa part, Félix Tréguer, membre fondateur de la Quadrature du Net, ne croît pas aux garanties mises en avant par le Conseil d’Etat. Il pense qu’elles « auront tôt fait de sauter (si elles ne sont pas d’ores et déjà bafouées par le Ministère de l’intérieur) ». Compte tenu de la multiplication des systèmes de vidéo-protection dans les villes, il pense que la base TES « préfigure en réalité l’utilisation des technologies de reconnaissance faciale à des fins de surveillance généralisée de la population ».
Alors que les programmes de #SafeCity se développent partout sur le territoire, il y a fort à parier que le #fichierTES préfigure en réalité l'utilisation des technologies de reconnaissance faciale à des fins de surveillance généralisée de la population. https://t.co/OQo00S2KRZ
— Félix Tréguer (@FelixTreguer) October 18, 2018
Le doute est clairement permis. Le fait que le gouvernement n’ait pas suivi l’avis de la CNIL et ait décidé de stocker les données biométriques de manière centrale plutôt que sur les cartes d’identité ou les passeports, est étrange. Ce choix a par exemple été retenu par l’Allemagne, sans que cela ne semble entraver l’authentification des personnes ou la lutte contre la fraude dans ce pays. On peut donc légitimement penser que la constitution d’une base centralisée puisse, un jour, servir à autre chose que ce qui est dit aujourd’hui.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
